Linux应急响应思路和技巧(二):文件分析篇
内容提要
本文介绍了Linux主机应急排查中的文件分析,强调文件在攻击中的重要性。通过检查系统配置、可疑文件变化及深入分析,识别攻击手段。常用工具包括系统命令和解码工具,重点排查定时任务、环境变量和启动脚本,以发现恶意配置,确保系统安全。
关键要点
-
文件在Linux主机应急排查中的重要性,涉及攻击的多个阶段。
-
通过系统配置检查确认是否被篡改,定位攻击者的手段。
-
可疑文件变化的查找,包括创建、篡改、访问痕迹的检查。
-
常用的排查工具包括系统命令和解码工具。
-
重点排查定时任务、环境变量和启动脚本,以发现恶意配置。
-
定时任务的检查路径包括/etc/crontab和/etc/cron.d等。
-
环境变量的检查包括/etc/profile和~/.bash_profile等文件。
-
启动脚本的检查包括/etc/rc.d/rc.local和/etc/rc.d/init.d/等。
-
账号密码相关配置的检查,包括/etc/passwd和/etc/shadow等文件。
-
账号权限相关配置的检查,包括/etc/sudoers和/etc/sudoers.d等文件。
-
预加载库和动态链接库的检查,包括/etc/ld.so.preload和动态链接器的校验。
-
内核模块的检查,包括lsmod命令和/proc/modules文件的检查。
-
可疑文件变化的查找,包括敏感目录下的异常文件和隐藏文件。
-
通过时间戳查找特定时间内被新增、访问或修改的文件。
-
检查特定权限或属性的文件,排查带SUID/SGID位的可疑文件。
-
数据库目录下加密文件的检查,识别勒索病毒的迹象。
-
恶意容器镜像和容器的检查,识别可疑容器的特征。
-
文件异常分析通过研判恶意样本的行为和特征,定位其他可疑文件。
-
利用已知样本特征识别恶意文件,追踪其他可疑文件。
-
样本分析包括脱壳、dump内存分析和反编译等方法。
-
利用现有检测工具和检测规则进行可疑文件的检测。
-
文件分析的主要目标是识别被篡改和恶意文件,确认攻击事件的影响。
